Предоставление общего доступа ко всем пользователям в подписке или клиенте (предварительная версия)

В этой статье описывается, как предоставить общий доступ к коллекции с определенными подписками или клиентами с помощью прямой общей коллекции в коллекции вычислений Azure. Совместное использование коллекции с клиентами и подписками дает им доступ только для чтения.

Существует три основных способа совместного использования образов в коллекции вычислений в зависимости от того, с какими пользователями вы хотите предоставить общий доступ:

Важные замечания

• Функция прямых общих коллекций в настоящее время находится в предварительной версии и имеет условия предварительной версии для коллекции вычислений Azure.

• Чтобы опубликовать изображения в прямой общей коллекции во время предварительной версии, необходимо зарегистрировать для предварительной версии. Для использования изображений не требуется дополнительный доступ.

• Создание виртуальных машин (виртуальных машин) из прямой общей коллекции открыто для всех пользователей Azure в целевой подписке или клиенте, которым предоставлен общий доступ к коллекции.

• Доступ к функции прямых общих коллекций задается, так как в большинстве сценариев общий доступ к RBAC или приложению достаточно для сценариев с одинаковыми подписками и несколькими клиентами. Запросить доступ к функции только в том случае, если вы хотите совместно использовать образы со всеми пользователями в подписке или клиенте, и если для вашего бизнеса требуется доступ к прямым общим коллекциям.

• Образы можно использовать с разрешениями на чтение для развертывания виртуальных машин и дисков.

• При использовании прямой общей коллекции образы распределяются широко всем пользователям в подписке или клиенте. Коллекция сообщества распространяет изображения публично. При совместном использовании изображений, содержащих интеллектуальную собственность, используйте осторожность, чтобы предотвратить широкое распространение.

Ограничения

На этапе предварительной версии:

• Вы можете предоставить общий доступ до 30 подписок и 5 клиентов.

• Общий доступ можно предоставлять только к образам. Вы не можете напрямую предоставить общий доступ к приложению виртуальной машины во время предварительной версии.

• Коллекция, к которой предоставлен прямой доступ, не может содержать зашифрованные версии образа.

• Только владелец подписки, пользователь или субъект-служба, назначенный роли администратора общего доступа к коллекции вычислений на уровне подписки или коллекции, может включить общий доступ на основе групп.

• В предварительной версии функций доступна только поддержка REST API, Azure CLI и портала Azure. Поддержка PowerShell и Terraform в настоящее время недоступна.

• Хотя поддержка портала доступна для этой функции, использование образов на портале доступно только в области создания виртуальной машины или масштабируемого набора виртуальных машин. На портале нет способа просматривать прямые общие образы.

• Регион версии образа в коллекции должен совпадать с домашним регионом. Создание версий между регионами, в которых домашний регион отличается от коллекции, не поддерживается. Однако после того, как образ находится в домашнем регионе, его можно реплицировать в другие регионы.

• Эта функция недоступна в облаках государственных организаций.

• Известная проблема. При создании виртуальной машины из прямого общего образа с помощью портала Azure при выборе региона и образа, а затем изменении региона вы получите сообщение об ошибке: "Вы можете создать виртуальную машину только в регионах репликации этого образа". Сообщение появляется, даже если изображение реплицируется в этот регион.

  Чтобы устранить ошибку, выберите другой регион и вернитесь в нужный регион. Если образ доступен, сообщение об ошибке не отображается.

Необходимые компоненты

Необходимо создать новую прямую общую коллекцию.

Во время предварительной версии прямая общая коллекция имеет sharingProfile.permissions значение Groupsсвойства. При использовании Azure CLI для создания коллекции используйте --permissions groups этот параметр. Вы не можете использовать существующую коллекцию, а свойство в настоящее время не может быть обновлено.

Поделиться галереей

Ниже приведен обзор процесса общего доступа:

1. Вы создаете коллекцию Microsoft.Compute/Galleries в разделе и выбираете groups ее в качестве параметра общего доступа.
2. Когда вы будете готовы, вы предоставляете общий доступ к коллекции с подписками и клиентами.
3. Инфраструктура Azure создает региональные ресурсы Microsoft.Compute/SharedGalleries, доступные только для чтения прокси-сервера.

Только подписки и клиенты, которым вы предоставили общий доступ к коллекции, могут взаимодействовать с ресурсами прокси-сервера. Они никогда не взаимодействуют с частными ресурсами.

Как издатель частного ресурса вы можете считать частный ресурс дескриптором общедоступных прокси-ресурсов. Подписки и арендаторы, которым вы предоставили общий доступ к коллекции, см. имя коллекции в качестве идентификатора подписки, за которым была создана коллекция, а затем имя коллекции.

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>
az sig share add \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

sub=<subscription-id>
tenant=<tenant-id>
gallery=<gallery-name>
rg=<resource-group-name>

az sig share remove \
   --subscription-ids $sub \
   --tenant-ids $tenant \
   --gallery-name $gallery \
   --resource-group $rg

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Add",
  "groups": [
    {
      "type": "Subscriptions",
      "ids": [
        "{SubscriptionID}"
      ]
    },
    {
      "type": "AADTenants",
      "ids": [
        "{tenantID}"
      ]
    }
  ]
}

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30

{
  "operationType": "Remove",
  "groups":[ 
    {
      "type": "Subscriptions",
      "ids": [
        "{subscriptionId1}",
        "{subscriptionId2}"
      ],
},
{
      "type": "AADTenants",
      "ids": [
        "{tenantId1}",
        "{tenantId2}"
      ]
    }
  ]
}

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/share?api-version=2020-09-30 

{ 
 "operationType" : "Reset", 
} 

Связанный контент

• Создание определения образа и версии образа.
• Создайте виртуальную машину из универсального или специализированного образа, которому предоставлен прямой доступ, в целевой подписке или арендаторе.